文档编号:191
浏览:9866 评分:50
最后更新于:2008-08-15
以下我们将给出HiPER VPN网关作为IPSec隧道网关的典型配置。所有的配置例子均包含了网络拓扑,相关设备的IP地址,提供了基于WEB页面的配置以及IPSec隧道的配置及状态信息。对于非HiPER设备,也根据相关情况给出配置及相关信息做参考。
在本例中,如图6-8所示,通过使用以3DES 加密并经SHA-1 认证的ESP,采用“手动”密钥方式在上海和北京办公室之间建立IPSec隧道,上海和北京的网关都使用HiPER VPN网关。地址如下:
上海的HiPER:
WAN口: 218.82.51.172/24
静态网关:218.82.51.1/24
LAN口: 192.168.1.1/24
北京的HiPER:
WAN口: 135.252.52.240/24
静态网关:135.252.52.1/24
LAN口: 192.168.2.1/24
1. 配置上海的HiPER VPN网关
在VPN配置—>IPSec中,选择“添加”选项,然后在配置参数项中依次输入以下内容(没有列出的参数项无需配置),再单击“保存”按钮。
“设置名”: sh_bj_m
“设置方式”:手动
“远端网关地址(名)”:135.252.52.240
“远端内网地址”:192.168.2.0
“远端内网掩码”:255.255.255.0
“本地绑定”:WAN1(eth2)
“本地内网地址”:192.168.1.0
“本地内网掩码”:255.255.255.0
“ESP加密算法”:3DES
“ESP加密密钥”:1234567890abcdef1234567890abcdef1234567890abcdef
“ESP认证算法”:SHA
“ESP认证密钥”:1234567890abcdef1234567890abcdef12345678
“AH认证算法”:NONE
“ESP外出SPI”:1111
“ESP进入SPI”:2222
2. 配置北京的HiPER VPN网关
在VPN配置—>IPSec中,选择“添加”选项,然后在配置参数项中依次输入以下内容(没有列出的参数项无需配置),再单击“保存”按钮。
“设置名”:bj_sh_m
“设置方式”:手动
“远端网关地址(名)”:218.82.51.172
“远端内网地址”:192.168.1.0
“远端内网掩码”:255.255.255.0
“本地绑定”:WAN1(eth2)
“本地内网地址”:192.168.2.0
“本地内网掩码”:255.255.255.0
“ESP加密算法”:3DES
“ESP加密密钥”:1234567890abcdef1234567890abcdef1234567890abcdef
“ESP认证算法”:SHA
“ESP认证密钥”:1234567890abcdef1234567890abcdef12345678
“AH认证算法”:NONE
“ESP外出SPI”:2222
“ESP进入SPI”:1111
3. 查看状态
当双方配置完成,隧道建立连接并开始传输数据后,可以在VPN配置—>IPSec中,查看“IPSec信息列表”,得到IPSec隧道的相关配置及状态信息,如表6-5、表6-6、表6-7所示(此处以上海的HiPER为例进行说明,北京的HiPER类似)。
表6-5 手动(HiPER和HiPER)—IPSec信息列表
表6-6手动(HiPER和HiPER)—IPSec信息列表(续表6-5)
表6-7 手动(HiPER和HiPER)—IPSec信息列表(续表6-6)
从表6-5中,可以看到“设置方式”显示为“手动”,“SA状态”显示为“已建立”,“外出加密包个数”和“进入解密包个数”均有数值显示。
从表6-6中,可以看到“本地绑定”显示为“eth2”,“加密认证算法”显示为“esp-3des-sha”,“ESP外出SPI”显示为“0x457(1111)”,“ESP进入SPI”显示为“0x8ae(2222)”。
从表6-7中,可以看到“生存时间(剩余)”显示为“永久”,表示该SA一直有效。
提示:
由于手动密钥方式不检查对方网关的存在和配置,因此,只要在IPSec页面上配置正确,查看“IPSec信息列表”(在VPN配置—>IPSec中),就能看到SA状态显示“已建立”。
在本例中,如图6-9所示,通过使用以DES 加密并经MD5 认证的ESP,采用“手动”密钥方式在上海和北京办公室之间建立IPSec隧道,上海使用HiPER VPN网关,北京使用Cisco 2611。地址如下:
上海的HiPER:
WAN口: 218.82.51.172/24
静态网关:218.82.51.1/24
LAN口: 192.168.1.1/24
北京的Cisco 2611:
WAN口: 135.252.52.240/24
静态网关:135.252.52.1/24
LAN口: 192.168.2.1/24
1. 配置上海的HiPER VPN网关
在VPN配置—>IPSec中,选择“添加”选项,然后在配置参数项中依次输入以下内容(没有列出的参数项无需配置),再单击“保存”按钮。
“设置名”: to_bj_m
“设置方式”:手动
“远端网关地址(名)”:135.252.52.240
“远端内网地址”:192.168.2.0
“远端内网掩码”:255.255.255.0
“本地绑定”:WAN(eth2)
“本地内网地址”:192.168.1.0
“本地内网掩码”:255.255.255.0
“ESP加密算法”:DES
“ESP加密密钥”:31323334353637383931323334353637
“ESP认证算法”:MD5
“ESP认证密钥”:
3132333435363738393132333435363738393132333435363738393132333435
“AH认证算法”:NONE
“ESP外出SPI”:1111
“ESP进入SPI”:1112
2. 配置北京的Cisco 2611路由器
Cisco 2611只支持CLI配置方式,配置如下:
//禁止使用自动IKE,让路由器工作在手动模式
no crypto isakmp enable
//配置加密认证算法
crypto ipsec transform-set testtrans esp-des esp-md5-hmac
//配置加密认证策略,包含对端地址、SPI、加密和认证算法及密钥、需要加密的地址
crypto map manualcase 8 ipsec-manual
set peer 218.82.51.172
set session-key inbound esp 1111 cipher 31323334353637383931323334353637 authenticator 3132333435363738393132333435363738393132333435363738393132333435
set session-key outbound esp 1112 cipher 31323334353637383931323334353637 authenticator 3132333435363738393132333435363738393132333435363738393132333435
set transform-set testtrans
match address 101
//配置Cisco外网的接口地址
interface FastEthernet0/0
ip address 135.252.52.240 255.255.255.0
no keepalive
duplex auto
speed auto
//将加密策略应用到外网接口
crypto map manualcase
//配置Cisco内网的接口地址
interface FastEthernet0/1
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
ip classless
//配置路由
ip route 0.0.0.0 0.0.0.0 135.252.52.1
//配置ACL表,在加密策略中引用
access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
3. 查看状态
当双方配置完成,隧道建立连接并开始传输数据后,可以查看IPSec隧道的相关配置及状态信息。
1) 查看上海的HiPER
对于HiPER来说,可以在VPN配置—>IPSec中,查看“IPSec信息列表”,得到IPSec隧道的相关配置及状态信息,如表6-8、表6-9、表6-10所示。
表6-8 手动(HiPER和Cisco)—IPSec信息列表
表6-9 手动(HiPER和Cisco)—IPSec信息列表(续表6-8)
表6-10 手动(HiPER和Cisco)—IPSec信息列表(续表6-9)
从表6-8中,可以看到“设置方式”显示为“手动”,“SA状态”显示为“已建立”,“外出加密包个数”和“进入解密包个数”均有数值显示。
从表6-9中,可以看到“本地绑定”显示为“eth2”,“加密认证算法”显示为“esp-des-md5”,“ESP外出SPI”显示为“0x457(1111)”,“ESP进入SPI”显示为“0x458(1112)”。
从表6-10中,可以看到“生存时间(剩余)”显示为“永久”,表示该SA一直有效。
2) 查看北京的Cisco 2611
对于北京的Cisco 2611路由器来说,可以通过命令show crypto ipsec sa查看到隧道相关配置及状态信息,具体监控结果如下:
Router#show crypto ipsec sa
interface: FastEthernet0/0
Crypto map tag: manualcase, local addr. 135.252.52.240
local ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
current_peer: 218.82.51.172
PERMIT, flags={origin_is_acl,}
#pkts encaps: 428, #pkts encrypt: 428, #pkts digest 428
#pkts decaps: 636, #pkts decrypt: 636, #pkts verify 636
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 135.252.52.240, remote crypto endpt.: 218.82.51.172
path mtu 1500, ip mtu 1500
current outbound spi: 458
inbound esp sas:
spi: 0x457(1111)
transform: esp-des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2001, flow_id: 1, crypto map: manualcase
no sa timing
IV size: 8 bytes
replay detection support: Y
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x458(1112)
transform: esp-des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2000, flow_id: 2, crypto map: manualcase
no sa timing
IV size: 8 bytes
replay detection support: Y
outbound ah sas:
outbound pcp sas: